安全性

云安全性有何不同之处

确保云安全性就是要保护云计算所涉及的数据、应用和基础架构。云环境(无论是公共私有还是混合云)需要考虑的安全因素与内部 IT 架构存在诸多共同之处。

主要安全顾虑包括:未经授权的数据披露和泄漏、薄弱的访问控制、易受网络攻击、可用性中断。不管是传统 IT 系统,还是云系统,都会受到这些隐患的影响。和计算环境一样,云安全性也涉及持续提供充分的预防性保护,以便您:

  • 确信数据和系统安全无虞。
  • 能够掌握当前的安全状态。
  • 及时知晓所有异常情况。
  • 能够跟踪意外事件并做出响应。

云安全性为何有所不同

虽然很多人都清楚云计算的优点,但却因各种安全威胁而对其望而却步。我们知道,对于介于互联网发送的无定形资源与物理服务器之间的事物,您一定很难理解。其实,它是一种不断变化的动态环境。例如,其面临的安全威胁会不断变化。也就是说,在很大程度上,云安全性即 IT 安全性。在理清这两者的具体区别之后,您就不会再觉得“云”这个词不安全了。

边界消融

安全性与访问权限密切相关。传统环境通常会利用边界安全模型来控制访问权限。云环境具有很高的连通性,这使得流量能够轻松地绕过传统的边界防御措施。不安全的应用编程接口 (API)、不严格的身份和凭据管理、帐户劫持以及存在恶意企图的内部人员,都会致使系统和数据面临各种威胁。要防止对云端的未经授权访问,您需要改用以数据为中心的方案。对数据进行加密。改进授权流程。使用高强度密码和双重身份验证。确保每个层级都安全无虞。

如今,一切都处于软件之中

“云”是指通过软件交付给用户的托管资源。云计算基础架构及其处理的所有数据都是动态、可扩展且可移植的。要控制云安全性,就要对各种环境变量以及与之相关的静态及动态工作负载和数据作出响应,既可以通过工作负载的内在措施(如加密)作出响应,也可以利用云管理系统和 API 作出动态响应。这有助于防止云环境发生系统损坏和数据丢失。

复杂的威胁局势

复杂威胁是指会对现代化计算(当然也包括云计算)造成不利影响的所有威胁。越来越多的复杂恶意软件和其他攻击(如高级持续性威胁 (APT))都会通过利用计算堆栈中的漏洞来绕开各种网络防御措施。数据泄露可能会引发未经授权的信息披露和数据篡改。对于这些威胁,除了及时采取会随着新出现的威胁不断改进的云安全实践之外,没有任何明确有效的解决方案。


共同肩负起确保云安全性的职责

无论您采用的是哪种云部署,您都要负责确保自己的空间在这个云环境中安全无虞。即使所用的云环境由他人负责维护,也不代表您可以(或应该)放松警惕。未进行详尽的尽职调查是造成安全故障的主要原因之一。确保云安全性,人人有责。具体措施包括:

使用可信软件

云环境中所部署的对象至关重要。与从外部来源下载的所有代码一样,您要知晓软件包的来源、构建者以及是否含有恶意代码。从已知的可信来源获取软件,并确保实施相应的机制以及时提供和安装更新。

了解合规性

个人、财务和其他敏感数据可能会受到相关合规性法规的严格监管。这些法律因您的业务开展地(及业务合作伙伴)而异;例如,请参阅欧盟颁布的“一般数据保护条例”(GDPR)。在选择云部署之前,请先查看您的合规性要求。

管理生命周期

在云原生环境中,您虽能快速部署新实例,但也很容易忘掉旧实例。被忽略的实例可能会在云中处于 Zombie 状态(即处于活动但未受监控的状态)。这些被遗弃的实例可能很快就会过时,这意味着不会再有新的安全补丁可供安装。生命周期管理和监管策略则有助于解决这一问题。

注重可移植性

您能否轻松地将工作负载迁移到其他云环境中?服务级别协议 (SLA) 应该明确规定云提供商应在何时、以何种方式归还客户的数据或应用。即使近期无需进行此类迁移,您未来也可能需要实施这一操作。所以,现在就将可移植性纳入考虑范围,未雨绸缪,以免日后面临供应商锁定问题。

连续监控

监控工作场所的当前状况有助于避免出现安全漏洞(或者至少能防止其造成不良影响)。统一的云管理平台(如红帽 CloudForms)有助于监控各个环境中的各种资源。

配备适合的人员

聘用值得信任且了解云安全复杂性的合格人员,并与他们密切合作。有时,公共云的基础架构可能要比某个企业的私有云更安全,因为公共云提供商拥有更全面的信息和更出色的安全团队。


公共云安全吗?

现在,我们来深入探讨一下。我们可以详细说明 3 种云部署(公共、私有和混合)之间的安全性区别,但我们知道您真正想知道的是“公共云安全吗?” 这要看具体情况。

公共云能为多种工作负载提供恰当的安全保障,但不能保证所有工作负载都安全无虞,这很大程度上是因为公共云并不具备私有云的隔离功能。公共云支持多租户,这意味着您可以从云提供商和其他“租户”处租用计算能力(或存储空间)。每个租户都会与云提供商签署 SLA,以明确相关人员各自的职责。这与向房东租赁物理空间十分相似。房东(云提供商)要承诺维护建筑物(云基础架构)、保管钥匙(访问权限),通常还要保证远离租户(隐私)。相应地,租户则要承诺不做出任何会破坏建筑物完整性或干扰其他租户的行为(例如,运行不安全的应用)。但是,您没法选择自己的邻居,所以您最后可能会遇到一位会做出危险举动的邻居。虽然云提供商的基础架构安全团队会密切留意各种异常事件、隐秘或具攻击性的威胁,如恶意的分布式拒绝服务 (DDoS) 攻击,但是其他租户仍有可能受到负面影响。

值得庆幸的是,云安全联盟已经制定了一些业界认可的安全标准、规则和控制框架,如云控制矩阵。您还可以部署额外的安全措施(如加密和 DDoS 迁移技术)将自己与多租户环境隔离,以免工作负载受到被入侵的基础架构的影响。如果这样还不够,您也可以使用云接入安全代理,监控低风险企业功能的活动情况并针对这些功能实施相应的安全策略。不过,对于受到严格的隐私、安全和合规性法规监管的行业而言,上述所有措施加起来可能仍无法满足其需求。

利用混合云降低风险

安全决策在很大程度上取决于风险承受能力和成本效益分析结果。安全决策的潜在风险和益处会对企业的整体运营状况产生什么影响?哪些要素最为关键?并非所有工作负载都需要最高级别的加密和安全性。例如:尽管锁上家门即可确保财产相对安全,但您可能还是会将贵重物品锁到保险箱中。有多种选择是件好事。

所以才会有越来越多的企业选择部署混合云,他们看中的就是混合云能充分发挥各种云环境的优点。混合云允许您根据合规性、审计、政策或安全需求,来选择工作负载和数据的存放位置,以保护私有云上极为敏感的工作负载,并在公共云上运行敏感性较低的工作负载。混合云存在一些特有的安全问题(如数据迁移、更高的复杂性和更大的攻击面),但是同时部署多个环境仍是防御安全风险的最有效方式之一。


我们可以帮助您实现云安全性

一个完整的私有云 IaaS 解决方案,能够跨公共和私有云部署进行无缝管理。

可以为私有云、公共云、混合云和虚拟化平台提供众多统一的管理功能。

一款企业软件系统,为您提供可扩展、安全的框架,用于建立和维护可信赖的身份信息,保护通信隐私。

一种独立于操作系统、基于网络的注册库,允许管理员集中存储用户身份和应用信息。